I dati mandati via HTTP GET li trovi in $_GET, e sono facilmente modificabili a mano. I dati mandati via POST li trovi in $_POST, e sono modificabili un po' meno facilmente ma senza grossi problemi (richiede dolo e volonta' di fare danni).

In generale tutti i dati in questione vanno considerati insicuri e dunque da validare, sotto qualunque circostanza.